Was ist Cloud und was nicht? - cnlab · «Community Cloud» bezeichnen, macht aber ... •SSL...

Preview:

Citation preview

Cnlab / CSI Herbsttagung 2014

WAS IST CLOUD UND WAS

NICHT?

Definition Cloud

10.9.2014 2

http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

Definition Cloud: «The service model»

10.9.2014 3

www.qarea.com

www.sans.org

Definition Cloud: «Essential Characteristics»

10.9.2014 4

NIST:

• On-demand self-service.

• Broad network access.

• Resource pooling.

• Rapid elasticity.

• Measured service.

Definition Cloud: «Deployment Models»

10.9.2014 5

Private cloud. The cloud infrastructure is provisioned for exclusive use by a single

organization comprising multiple consumers …

Community cloud. The cloud infrastructure is provisioned for exclusive use by a specific

community of consumers from organizations that have shared

concerns…..

Public cloud. The cloud infrastructure is provisioned for open use by the general

public. ….

Hybrid cloud. The cloud infrastructure is a composition of two or more distinct

cloud infrastructures (private, community, or public) ….

Was ist NICHT Cloud?

• Corporate Sharepoint-Infrastruktur der SwissLife

• Exchange-Farm der Credit-Suisse

• Webangebot der Microsoft

• SIC-Netzwerk / SWIFT-Netzwerk

• ISDN-Netz der Swisscom

• ZV-Outsourcing der ZKB bei der Swisscom

10.9.2014 6

Der Anwender

betreibt den Dienst

selbst.

Könnte man als

«Community Cloud»

bezeichnen, macht aber

niemand..

Könnte man als «Cloud»

bezeichnen, macht aber niemand.

Dedizierte Lösung

Für einen Kunden.

Der Cloud-Markt: Umsatz

10.9.2014 7

Quelle: www.zdnet.com über Forrester

Der Cloud-Markt: Umsatz

10.9.2014 8

Die Player im Cloud-Markt

10.9.2014 9

Quelle: http://blog.gravitant.com/2012/07/27/cloud-technology-spectrum/

Was kostet eine Cloud-Lösung: Beispiel MS

10.9.2014 10

Was kostet eine Cloud-Lösung: Beispiel Google

10.9.2014 11

Sichere Cloud: Die Referenz ISO 27001

10.9.2014 12

1. Weisungen und Richtlinien zur Informationssicherheit

2. Organisatorische Sicherheitsmassnahmen und

Managementprozess

3. Verantwortung und Klassifizierung von Informationswerten

4. Personelle Sicherheit

5. Physische Sicherheit und öffentliche Versorgungsdienste

6. Netzwerk- und Betriebssicherheit (Daten und Telefonie)

7. Zugriffskontrolle

8. Systementwicklung und Wartung

9. Umgang mit Sicherheitsvorfällen

10. Notfallvorsorgeplanung

11. Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und

Überprüfungen durch Audits

IT-Risiken im Cloud-Umfeld (was wird heute diskutiert)

10.9.2014 13

- Unerwünschter Zugriff

- von staatlichen Organisationen

- von kriminellen Organisationen

- von Konkurrenten

- von nicht-Usern

- Mangelnde Verfügbarkeit

- Technische Probleme

- Kommerzielle Probleme

- Mangelnde Funktionalität

- Falscher Abstraktionslevel

- Kompatibilitäts-Probleme

Fokus c

nla

b

Fokus C

SI

Fokus S

wis

scom

Was ist eine sichere Cloud?

10.9.2014 14

Interface

Application

Solution stack

Operating System

Hypervisor

Computer

Storage

Network

facility

IaaS

-Pro

vid

er

PaaS

-Pro

vid

er

SaaS

-Pro

vid

er

Die wichtigen 3 Fragen sind:

• Wieviel Info kann der

Provider lesen ?

• Wie sicher kann er diese

Info behandeln ?

• Wie sicher darf er die Info

behandeln ?

Thesen zur Sicherheit

• SSL end-zu-end ist sicher.

• Gute Passwörter sind im Netz nicht erratbar.

• Provider können auch gute Passwörter erraten (offline-search).

• Die Provider können immer auf Daten zugreifen:– Wenn die Daten beim Provider verarbeitet werden.

– Wenn es ein Passwort-Reset gibt.

– Wenn fremde User Zugang bekommen ohne direkte Interaktion.

– Falls Federation-Login möglich ist.

10.9.2014 15

Wer arbeitet in der Cloud? (Bsp. MS)

10.9.2014 16

http://www.microsoft.com/de-de/kundenreferenzen/

Im «öffentlichen Sektor» gab

es am 26.8.14. auch keine

Einträge

Wer arbeitet in der Cloud? (Bsp. Google)

10.9.2014 17

http://www.google.com/apps/intl/de/customers/#tab0

Wie geht es weiter?

• Das Potenzial ist sehr gross.

• Es wird immer teurer, die Cloud nicht zu verwenden.

• Auch «Finanz-Organisationen» und der «öffentliche Sektor» werden mittelfristig mitmachen.

10.9.2014 18

Paul Schöbi

paul.schoebi@cnlab.ch

+41 55 214 33 33

Danke

10.9.2014

Recommended